Il gruppo di minaccia iraniano noto come Tortoiseshell è stato collegato a una nuova ondata di attacchi informatici, progettati per distribuire un malware chiamato IMAPLoader.
Dettagli sul malware IMAPLoader
IMAPLoader è un malware .NET che ha la capacità di identificare i sistemi delle vittime utilizzando utility native di Windows e funge da downloader per ulteriori payload. Utilizza l’email come canale di comando e controllo ed è in grado di eseguire payload estratti dagli allegati email attraverso nuovi servizi di distribuzione.
Storia e attività del gruppo Tortoiseshell
Attivo almeno dal 2018, Tortoiseshell ha una storia di compromissione strategica dei siti web per facilitare la distribuzione di malware. A maggio, il gruppo è stato collegato all’intrusione di otto siti web associati a spedizioni, logistica e servizi finanziari in Israele. Questo attore minaccioso è allineato con il Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) ed è noto anche come Crimson Sandstorm, Imperial Kitten, TA456 e Yellow Liderc.
Nuovi attacchi tra il 2022 e il 2023
La recente ondata di attacchi ha visto l’incorporazione di JavaScript maligno in siti web legittimi compromessi per raccogliere dettagli sui visitatori, come la loro posizione, informazioni sul dispositivo e orari di visita. Queste intrusioni si sono concentrate principalmente sui settori marittimo, delle spedizioni e della logistica nel Mediterraneo, portando in alcuni casi alla distribuzione di IMAPLoader come payload successivo, se la vittima veniva considerata un obiettivo di alto valore.
Ulteriori dettagli sul malware
IMAPLoader è considerato un sostituto di un impianto IMAP basato su Python che Tortoiseshell ha utilizzato alla fine del 2021 e all’inizio del 2022, a causa delle somiglianze nella funzionalità. Il malware agisce come un downloader per i payload di prossima fase, interrogando account email IMAP predefiniti e controllando una cartella di posta denominata “Recive” per recuperare gli eseguibili dagli allegati dei messaggi.
Varietà di tattiche e tecniche
PwC ha rilevato che Tortoiseshell ha creato siti di phishing, alcuni dei quali mirati ai settori dei viaggi e dell’ospitalità in Europa, per effettuare il raccolto delle credenziali utilizzando false pagine di accesso Microsoft. “Questo attore minaccioso rimane una minaccia attiva e persistente per molte industrie e paesi”, ha affermato PwC.